内容概述

在当今数字化时代，信息安全问题愈发凸显。对于企业来说，信息安全不仅关乎业务正常运营，更涉及企业声誉和核心竞争力。据统计，每年因信息安全漏洞，企业损失数以亿计。某集团作为大型企业，面临诸多信息安全挑战。那么，某大型集团如何应对挑战，规划信息安全建设蓝图？接下来，让我们一探究竟。

一、信息安全现况分析

• 现况调研基准：某大型集团以 ISO 27001:2013 信息安全管理国际标准为调研基准。该标准指引公司关注 14 个信息安全管理域，涵盖信息安全方针、信息安全组织、人力资源安全等多方面。只有全面管理这些领域，信息安全管理才完整。
• 管理成熟度现况：目前在 14 个信息安全管理域中，有 10 个域处于初始级或是可重复级。这表明某大型集团在信息安全管理方面有很大提升空间。
• 主要发现事项与问题：项目团队调研发现 97 个主要发现事项，即未符合 ISO 27001:2013 相关要求的情况。归纳出七个主要信息安全管理问题，如部分利润中心网络层面安全防御不足，信息系统及数据在开发与运维阶段安全控制需强化，系统账号管理存在漏洞，集团与利润中心信息安全责任边界不清，合规压力加重以及终端设备管控薄弱等。根本原因在于安全权责不清和信息安全标准落实不彰。

二、信息安全建设目标

• 管理目标：规范信息安全管理，合理控制信息安全风险，支持信息化战略目标的实现。
• 具体目标：降低信息安全现况问题带来的安全风险及对业务运营的影响，可持续改善及落实控制的有效性。

三、信息安全建设方案

1. 组织权责整改方案（P1）
   • 职责分工与组织设置：设计信息安全管控模式，界定集团与利润中心安全责任，设置信息安全管理组织，配备信息安全专职人员。
   • 责任边界划分：集团规划通用性安全标准并考核利润中心，利润中心建立特定安全标准并考核下属企业。在执行层，集团和各单位依据不同标准落实解决方案，明确各阶段主责人员的工作。
2. 标准 / 合规整改方案（P2）
   • 建立标准与基线：制定某大型（集团）有限公司信息安全管理办法和标准，涵盖信息安全组织与职责、信息系统安全管控要求等多方面。
   • 实施等级保护：2015 年底前集团总部与利润中心完成等保定级与备案，2016 年底前针对等保三级以上系统完成整改与等保测评。

3. 人员管控整改方案（P3）
   • 账号权限管理：将信息系统帐号权限审阅纳入人员调离岗作业，签署人员保密协议，定期实施人员信息系统帐户与权限复核。
   • 账号权限审阅：实施 LDAP 与个性系统帐号权限审阅，删除或停用未经授权或异常账号。

4. 事件应变 / 灾备整改方案（P4）
   • 日志留存与分析：信息系统及基础设施安全日志异地留存至数据中心 SIEM 平台，定期检视安全事件，建立监控策略和通报程序。
   • 资产分级与预案制定：建立信息资产分级与管控机制，定期实施信息资产分级管理和安全风险评估，制定或更新信息系统应急预案并演练。

5. 应用系统安全整改方案（P5）
   • 标准与基线建设：建立覆盖信息系统生命周期的信息安全标准与基线，定期审阅与更新信息安全管理办法。
   • 系统安全管理：建立信息资产分级与管控机制，定期实施系统帐号审阅、数据脱敏机制和信息系统安全检测。

6. 网络管控整改方案（P6）
   • 网络安全建设：建置外网和内网新一代防火墙或入侵防御系统，实施生产网络与办公网络区隔。
   • 终端安全防护：布署终端防病毒软件和数据防泄漏措施，定期实施终端系统漏洞检测和补丁更新。

7. 终端管控整改方案（P7）
   • 终端权限管理：评估终端用户使用行为，要求终端用户加入域管控，移除用户本地最高权限。
   • 安全配置与备份：强制启用智能终端安全配置，设计终端数据备份方案，实施内网网络准入，建立用户终端安全配置基线。

四、建设路径规划与蓝图

• 规划原则：不需要额外投入、投入较少的安全要求先实施，优先实施最基础、紧迫度高的安全要求，如人员安全管理、终端补丁管理等。同时，评估方案时综合考虑人力需求、预算需求、复杂度和迫切性等因素。
• 方案优先序分析：通过对各整改方案的评估，得出 P1 组织权责整改方案优先序为 1，P2 标准 / 合规整改方案优先序为 2，P7 终端管控整改方案优先序为 3 等。
• 演进路线与蓝图：分为体系试点阶段（2015 – 2016）、体系推广阶段（2017 – 2020）等。在不同阶段有不同的实施层面和效果要求，如在试点阶段确定管理边界、设计标准与规划、组织建设等，在推广阶段扩大推广范围，提升信息安全成熟度。同时，还制定了详细的信息安全建设工作蓝图，明确各年度各方案的实施计划。

最后

某大型集团的信息安全建设方案为企业应对信息安全挑战提供了全面且系统的指导。通过明确建设目标，制定针对性的整改方案，合理规划建设路径和蓝图，能够有效降低信息安全风险，保障业务的正常运营。企业在实际应用中，可以根据自身情况，按照方案的优先序和时间安排逐步推进信息安全建设工作，不断提升信息安全管理水平。

【完整方案169页PPT】